暴露型ウィルスで身代金を要求される。日本のアノ企業も被害に

後で見る

新型コロナウィルス感染の猛威が社会人の通勤を難みました。従来日本ではいかなる業務も対面活動がマストとされ、実施は無理といわれていたリモートワーク、十分な準備ないまま多くの日本企業では導入を余儀されたのです。

会社にあるデスクトップPCにはセキュリティ対策がなされており、社内で使う分にはウィルス脅威にさらされる可能性は低いといえますが、それを自宅に持ち帰って会社のネットワークにアクセスする場合には状況が一変、企業が定めるところのセキュアな状態がキープしにくくなります。

【合わせて読む】

●DXに乗り遅れた企業はただ死ぬだけ、の世の中になった。
●リクルートの「内定辞退予測データ問題」が企業に問うたこと
●AIによって、海賊版は駆逐される？

自宅で利用するインターネットプロバイダは社員によって違いますし、そもそも外部からログインすることを想定していないネットワーク環境が、日本企業ではいまだに多いのです。つまりPCを持ち出せば、危険度が一気にアップするということ。リモートワーク用PCにウイルスメールが送りつけられたり、リモートワーク用通信システムの脆弱性による不正アクセスが増えるなど。その結果会社内のネットワークがウイルス感染してしまうことも考えられ、従業員がセキュリティーホールになってしまうこともあるのです。

ウィルス対策ソフトウェアベンダー大手のトレンドマイクロと日本経済新聞社が共同で闇サイトで情報を暴露された企業の数を集計したところ、企業から盗んだ機密情報を公開すると相手を脅し、身代金を要求する暴露型ウイルスの被害企業が、2020年1-10月に世界で1千社を超えたことが明らかになりました。要求に応じないと情報を暴露されるのです。増え続ける暴露型ウィルスに対して対策が急務となっていますが、これは企業だけの問題ではありません。

暴露型ウィルスをよく理解し、我々が自衛する術について確認してみましょう。

1 暴露型ウィルスとは
- 1.1 従来のランサムウェアとの違い
2 日本での被害状況
- 2.1 カプコンの例
- 2.2 保険市場でのサイバーソリューションの成長
3 暴露ウィルス対策は？
4 進化するウィルスについても理解しておこう
- 4.1 自衛の精神

暴露型ウィルスとは

暴露型ウィルスは企業のシステムにウイルスを感染させ、企業の生命線ともいえる機密情報を盗み暗号化、機密情報を暴露すると企業をおどし、身代金を要求するサイバー攻撃のこと。

このおどしに応じず身代金を支払わない場合、企業はその情報を確認することもできぬままダークウェブ上の闇サイトに公開されてしまうので、企業が大きな打撃を受けることが多いのです。

従来のランサムウェアとの違い

従来型のランサムウエアはターゲットを定めずメールなどで拡散されるもので、被害企業のクライアントPCやサーバーにあるデータを暗号化し、その暗号化解除と引き換えに数万円程度の身代金を要求するものでした。一方の暴露型は特定の業種や企業を狙い撃ちしてきます。侵入方法はメール経由やWebsite経由が減って、シンクライアントのRDP経由や、VPNゲートウェイ経由など、公開サーバーの脆弱性を利用した侵入が増えています。まずデータを盗んだ上で、最後の仕上げとして元データを暗号化します。復旧に対して金銭を要求するだけでなく、支払いを拒めば盗んだデータを暴露すると二重に脅迫するという手の込んだ仕組みなのです。

身代金の要求には匿名性が高く、巨額の換金もしやすい暗号資産（仮想通貨）が利用されるパターンがほとんど。その要求額は数百万円程度から十数億円、平均で数千万円とになることが報告されています。さらに悪質な暴露型ウィルスは、盗んだ情報を一度に全て公開せず、一部のみを攻撃成功のエビデンスとして公開し、企業にじわじわ圧力をかける手口もあるようです。

お金が犯罪者の資金源となることを防ぐため、被害にあった企業の多くは身代金を払わずに、サイバー犯罪の捜査当局に通報することで対応していますが、データが暴露されてしまうことが少なくありませんので、中には支払いに応じる企業もあります。

暴露型のウィルスでは、データバックアップが絶対的なソリューションにならないことも特徴といえるでしょう。基幹システムが暗号化されて業務が停止されることに加え、機密情報を含む大量のデータが盗まれ、それが徐々に公開されますし、コンプライアンス違反などの企業にとって不都合な情報まで暴露されてしまうかも。さらに莫大な身代金を要求されたのち、犯罪者が発信する情報が止めば企業が支払いに応じた事実も明らかになるので、企業イメージが悪くなってしまい、企業は何重にも痛手を被ることになるのです。

日本での被害状況

日本でも2019年以降その被害が急増しています。今や大企業のみならず中小企業も標的になっているのです。

カプコンの例

大きな暴露型ウィルス被害の最近の例としては、カプコンが挙げられます。Ragnar Locker（ラグナロッカー）というサイバー犯罪グループにより、2020年11月カプコンの企業業績や従業員の給与などの内部情報がインターネット上に流出しました。同年12月11日時点で11回にわたり200ギガバイト近くが流出し、最大39万件の個人情報やゲームの開発データもあったようで、このウィルスはカプコン社内のネットワーク内でしか動作しない、従来の対策ソフトでは検出するのが難しいもの。

Ragnar Lockerは2020年5月ごろから出現、アメリカ、フランス、イタリア、ポルトガルなどの企業をターゲットに繰り返し攻撃を行なっていました。このウイルスは下記の

アゼルバイジャン語
アルメニア語
ベラルーシ語
カザフ語
キルギス語
モルドバ語
タジク語
ロシア語
トルクメン語
ウズベク語
ウクライナ語
ジョージア語

12ヶ国の言語が設定されたPCに感染しない仕組みになっていたことも判明しており、Ragnar Lockerがロシア語圏とロシア語が主要言語になっている国を攻撃しないようにしているとみられることから、このグループがロシアや周辺諸国にある可能性が大きいようです。専門家の見解では、類似する攻撃を世界中に仕掛ける犯罪グループが、少なくとも18件確認されているとのこと。

カプコンには身代金として12億円相当額を要求されたようでしたが、警察に通報し支払いを拒否。そこで犯人は盗んだ情報の一部60ギガバイト分を、ダークウェーブ上に公開。データ公開は、犯罪グループがカプコンの対応に対しての「見せしめ」といえます。

保険市場でのサイバーソリューションの成長

暴露型ウィルスに対応する保険商品も増えてきています。その一例である大手損害保険会社の一社である損保ジャパンの「サイバー保険」では、犯罪グループに渡す身代金は保障の対象外であるものの、取引先への賠償やシステムの復旧にかかった費用などが補償されます。2020年４月以降、損保ジャパンにサイバー保険への申し込みが急増し、その数は前年の同じ時期に比べて1.6倍近くに達しているようです。同社には日立ソリューションズが米セキュリティ大手のパロアルトネットワークスの技術を活用したリスク評価で協業しており、現在のサイバー保険を進化させリスクを定量的に計り、保険料に反映する商品の発売が2021年に予定されています。

もちろん他の損害保険会社でも同等の保険商品を備えています。次に代表的なものを掲げます：

三井住友海上サイバー保険（三井住友海上）
サイバーリスク保険（東京海上日動）

保険業界はこの暴露型ウィルス被害の増加で恩恵を得ているので、その手綱を緩めません。今後は企業向けだけでなく、サイバー保険の個人需要が急速に増えると考えられますので、各社サービス内容の拡充や拡張を行うに違いありませんね。

暴露ウィルス対策は？

犯罪グループにデータを盗まれた後にできる対策は何もありません。身代金を要求されたらもうなすすべはないといえるのです。

テレワーク中の従業員の自宅のPCなど、安全性が相対的に低い場所から侵入し、企業システムに感染を広げる手口が一般的ですから、第一の対策は、まず侵入のきっかけをつくらないことといえます。

企業ではウィルス感染を防ぐため、以下の内容での従業員教育を行うべきでしょう。

メールやWebsiteの十分な確認
添付ファイルやリンクを安易に開かない
不審なプログラムを実行しない
OSやソフトウエアをいつも最新にする
確実に端末のロックを行う
PCに不必要に個人情報を保存しない

全社あげての頻繁なウィルス対策演習も必要となります。

完璧な対策にならないといえ、やはりデータの定期的なバックアップはデータ損失から復旧するためには重要で一般的な方法です。バックアップはローカルだけでなく、異なるネットワークでの保管が基本となり、データ領域だけでなくシステム領域までのバックアップが推奨されます。

ローカルでの記録媒体はバックアップ時のみ接続し、普段は切り離しておくべき。もしデータ容量が膨大であるなら、大規模バックアップに対応した外部サービスを利用しましょう。当然のことですが、バックアップからちゃんと復旧できることを、定期的に確認することもお忘れなく。

ネットワークの管理サイドでは、フィルタリングツールの導入、サービスや共有サーバーへのアクセス権を最小限にする、リモートやサーバーのパスワードの定期的な見直しや、日本独自の「間違った」セキュリティ対策であるPPAPの廃止などが挙げられます。

機密データを暗号化してパスワードを設定して、暴露されても直ちに悪用されないような業務プロセスを確立することも大切ですし、システム内の不審な（異常）振る舞いを検知し、遮断する特殊なソフトウェアやサービスの導入が企業には不可欠になり、常に最新の状態にしておくことも必要です。ウィルスワクチンのソフトウェアベンダーや、セキュリティ対策サービスベンダーで様々なメニューの用意があるので、自社に最適なソリューションを選びましょう。

進化するウィルスについても理解しておこう

暴露型ウィルスとは異なるが、同様に企業の脅威となる破壊活動型ウイルスの存在も心に留めておきましょう。このウィルスは物理的にシステムを破壊するのではなく、企業の社内のITネットワークのみならず、外部向けサービスや工場など全てを停止させてしまうものです。つまり企業活動そのものを止めてしまうもの。その攻撃は特定の拡張子を持つデータを検索し自動的に削除したり、コンピュータを突然停止させたりと、ウィルスによって異なります。

またウィルスの目的が、例えば世界の混乱を招くことや、単にターゲットにダメージを与えることなど、お金を奪う以外の別のものである可能性も今後は十分考えられます。